Microsoft サイバーセキュリティ防御オペレーション センター

Sharing Microsoft's best practices to protect, detect, and respond to cybersecurity threats

サイバーセキュリティは共同責任であり、全員に影響します。 現在、1 つの侵害 (物理的でも仮想的でも) によって、組織に数百万ドルの損害と、世界経済に数十億ドルの金銭的損失が発生する可能性があります。 毎日、金銭上の利益や社会的な動機付け目的で、企業や個人を標的にしたサイバー犯罪者のレポートを目にします。 これらの脅威に加えて、業務の混乱、諜報活動、一般的な信頼の低下を狙った国家的なアクターによるものがあります。

この概要では、オンライン セキュリティ、脅威アクター、および彼らが目標を達成するために採用している高度な戦術、および Microsoft サイバー防衛オペレーション センターがこれらの脅威に対抗し、お客様の機密アプリケーションやデータの保護に役立てる方法を共有します。



Microsoft Cyber Defense Operations Center

Microsoft サイバー防御オペレーション センター

Microsoft は、すべてのユーザーにとってオンラインの世界がより安全になるように徹底して努めています。 当社のサイバーセキュリティ戦略は、急速に進化し続けるサイバー脅威の状況を見越した独自の視点から発展してきました。

敵対者は意思決定と高度化の両方で進化し続けているため、人、場所、プロセス全体の攻撃領域におけるイノベーションは、私たち全員が行う必要がある必須の継続的な投資です。 多くの組織による防御戦略への投資の増加に対応して、攻撃者は驚異的なスピードで、戦術を変化させ、強化しています。 幸い、Microsoft のグローバル情報セキュリティ チームのようなサイバーディフェンダーも革新し続け、継続的で高度なトレーニングと最新のセキュリティ テクノロジ、ツール、プロセスにより、長く確実とされてきた攻撃方法を防止しています。

Microsoft サイバー防衛オペレーション センター (CDOC) は、Microsoft がセキュリティ、データ保護、リスク管理に毎年 10 億ドル以上を投資している 1 つの例です。 CDOC では、サイバーセキュリティ スペシャリストとデータ サイエンティストを募り、24 時間 365 日体制の施設で、リアルタイムで脅威に対抗しています。 Microsoft は、製品開発チーム、情報セキュリティ グループ、法務チームにまたがる世界中の 3,500 人を超えるセキュリティ プロフェッショナルとつながり、クラウド インフラストラクチャとサービス、製品とデバイス、内部リソースを保護しています。

Microsoft は、クラウド インフラストラクチャに 150 億ドル以上投資しており、Fortune 500 企業の 90% 以上が Microsoft クラウドを使用しています。 今日、Microsoft は、世界中に 100 以上の geo 分散型データセンター、200 のクラウド サービス、数百万台のデバイス、10 億のお客様を抱える世界最大のクラウド フットプリントの 1 つを所有し、運用しています。

サイバーセキュリティ脅威のアクターと動機

ユーザー、デバイス、データ、およびクリティカルなインフラストラクチャを保護するための最初のステップは、さまざまな種類の脅威アクターと彼らの動機を理解することです。
  • サイバー犯罪者は、複数のサブカテゴリにわたりますが、多くの場合、金銭的、インテリジェンス、社会的または政治的な利益という共通の動機を共有しています。 彼らのアプローチは一般に直接的で、財務データ システムに侵入し、気付かれないほどの少額をスキミングして、発見される前に退出するというものです。 永続的な秘密のプレゼンスを維持することは、彼らの目的を達成するために不可欠です。

    彼らのアプローチは、追跡と介入を逃れるために迷路のようなアカウントによって、多額の金銭的支払いをかわす侵入などになります。 時により、目的は、標的が所有している知的財産を盗むことであるため、サイバー犯罪者が製品設計、ソフトウェアのソースコード、または特定のエンティティにとって価値があるその他の専有情報を提供する仲介者として行動することもあります。 こうした活動の半分以上は、組織的な犯行グループによって実行されています。

  • 国家的アクターは、政府機関に仕え、標的となる政府、組織、または個人を妨害または侵害して、貴重なデータやインテリジェンスにアクセスします。 彼らは、1 つまたは複数の国に利益をもたらす可能性のある結果に影響し、左右する国際的業務に従事しています。 国家的アクターの目的は、業務の中断、企業に対する諜報活動、他の政府からの秘密の不正入手、または機関の信頼の失墜です。 彼らは、単純なものから高度に複雑なものまで、さまざまなツールキットと共に、意のままに、法的な懲罰を恐れることなく、大規模なリソースを利用できます。

    国家的アクターは、何らかの最も高度なサイバーハッキングの才能を持つ者を招き、彼らのツールを武器化と言えるまで発展させる場合があります。 彼らの侵入アプローチには、多くの場合に、スーパーコンピューティング能力を使用して、数百万回の試行によって、資格情報を総当たり攻撃し、正しいパスワードに到達するという高度な永続的脅威が含まれます。 また、ハイパーターゲット フィッシング攻撃を利用して、インサイダーを招き、資格情報を漏洩させることもあります。

  • 人間の行動は予測不能であるため、インサイダー脅威は特に厄介です。 インサイダーの動機はおそらく、日和見的で、金銭的利益のためです。 ただし、潜在的なインサイダー脅威には多くの原因があり、単純な不注意から高度な計画にまで及びます。 インサイダー脅威に起因する多くのデータ侵害は、脆弱性を認識していない組織を危険にさらす偶発的または不注意な行動による、完全に意図しないものです。

  • ハクティビストは、政治的または社会的動機による攻撃に焦点を合わせます。 彼らは、自分自身とその信念に注目を集めるために、ニュースで目立ち、認識されるべく努力します。 彼らの戦術には、分散型サービス拒否 (DDoS) 攻撃、脆弱性の悪用、オンライン プレゼンスの改ざんなどがあります。 社会的または政治的な問題への関係によって、どの企業や組織もターゲットになる可能性があります。 ソーシャル メディアにより、ハクティビストは自分の信念を速やかに伝え、他の参加者を募集することができます。


$4 million is the average cost of data breach in 2017

脅威アクターの手法

さまざまな高度な手法を使用して保護していても、敵対者は、組織のネットワークに侵入する方法を見つけることに熟練しています。 いくつかの戦術はインターネットの初期の時代からありましたが、他に今日の敵対者の創造性と精巧さの高度化が反映されたものもあります。

  • ソーシャル エンジニアリングは、ユーザーをだまして、そうでなければすることのないような行動や情報の漏洩をさせる攻撃の広義の用語です。 ソーシャル エンジニアリングは、ほとんどの人の善意と、助けになる、問題を回避する、使い慣れたソースを信頼する、報酬を得られるかもしれないという意欲に付け込みます。 その他の攻撃ベクトルは、ソーシャル エンジニアリングの傘下に分類できますが、ソーシャル エンジニアリング戦術を認識し、防御しやすくする次のようないくつかの属性があります。
    • フィッシング メールは、セキュリティ チェーンの最も弱いリンク (ネットワーク セキュリティを最優先に考えない日常的なユーザー) を相手にするため、効果的なツールです。 フィッシング キャンペーンでは、ユーザーが正当なサイトであると信じるリンクをクリックしたり、悪意のあるコードを含むファイルをダウンロードしたりするようにユーザーをだますことによって、ユーザーを招待または脅して、ユーザーの資格情報を不注意に共有させることがあります。 フィッシング メールは、以前は文章が稚拙で、気付きやすいものでした。 今日、敵対者は、正当な電子メールやランディング サイトの模倣に熟練しており、不正として識別するのが困難になっています。
    • ID スプーフィングには、アプリケーションやネットワーク リソースに提示される情報を偽装することによって、別の正当なユーザーとしてなりすます敵対者が関与します。 例として、一見アクションを要求している同僚のアドレスを提示して到着するメールがあります。しかし、そのアドレスは、メール送信者の実際の送信元を隠しています。 同様に、URL を偽装して正当なサイトであるように見せることがあります。しかし、実際の IP アドレスは実はサイバー犯罪者のサイトを指しています。

  • コンピューティングの夜明けから、マルウェアは私たちと共にありました。 今日、特にデバイスとデータを暗号化することを目的とした、ランサムウェアと悪意のあるコードの急激な増加が見られます。 次に、サイバー犯罪者は、キーのロックを解除し、犠牲者に制御を返すために、暗号通貨での支払いを要求します。 これは、コンピューターとデータ ファイルに対して個人レベルで、またはより頻繁に企業全体に対して発生する可能性があります。 ランサムウェアの使用は、特に医療分野で宣告されます。このような組織が直面する生死に関わる結果によって、こうした組織はネットワークのダウンタイムにきわめて敏感になるためです。

  • サプライ チェーンの挿入は、ネットワークにマルウェアを注入するクリエイティブなアプローチの一例です。 たとえば、アプリケーション更新プロセスをハイジャックすることにより、敵対者はマルウェア対策ツールと保護を回避します。 この手法は広まっていることがわかっていますが、この脅威は、アプリケーション開発者によって、より包括的なセキュリティ保護がソフトウェアに注入されるまで増え続けます。

  • 中間者攻撃には、ユーザーとそのユーザーがアクセスしているリソースとの間に自分自身を差し込むことによって、ユーザーのログイン資格情報などの重要な情報を傍受する敵対者が関与します。 たとえば、コーヒー ショップのサイバー攻撃者は、キーロガー ソフトウェアを使用して、ユーザーが WiFi ネットワークに参加しているときにユーザーのドメイン資格情報をキャプチャすることがあります。 その後、脅威アクターは、バンキング情報や個人情報などのユーザーの機密情報にアクセスでき、それらをダークウェブで使用したり販売したりすることができます。

  • 分散型サービス拒否 (DDoS)攻撃は 10 年以上存在しており、モノのインターネット (IoT) の急速な成長により、大規模攻撃は一般的になりつつあります。 この手法を使用する場合、敵対者は、正当なクエリに取って代わる悪意のあるトラフィックでサイトを攻撃して、サイトを過負荷にします。 多くの場合に、以前に仕掛けられたマルウェアを使用して、Web カメラやスマート サーモスタットなどの IoT デバイスをハイジャックします。 DDoS 攻撃では、さまざまなソースからの着信トラフィックによって、大量の要求でネットワークをあふれさせます。 これにより、サーバーが過負荷になり、正当な要求からのアクセスが拒否されます。 多くの攻撃には、IP 送信者アドレスの偽造 (IP アドレス スプーフィング) も含まれるため、攻撃しているコンピューターの場所を簡単に識別して阻止することができません。

    多くの場合、サービス拒否攻撃は、組織に侵入するためのより不正な試みを隠すか、目をそらすために使われます。 ほとんどの場合、敵対者の目的は、侵害された資格情報を使用してネットワークにアクセスし、ネットワーク全体を横方向に移動して、組織内の最も機密性の高い貴重な情報へのキーであるより "強力な" 資格情報へのアクセス権を得ることです。



90% of all cyberattacks start with a phishing email

サイバースペースの武装化

サイバー戦争の可能性の拡大は、今日の政府と市民の主要な懸念事項の 1 つです。 これには、戦争においてコンピューターとネットワークを使用し、標的とする国民国家が含まれます。

攻勢作戦と防勢作戦の両方を使用して、サイバー攻撃、諜報活動、および妨害行為が行われます。 国民国家は、長年にわたって、攻撃者、被告、またはその両者として、機能を開発し、サイバー戦争に参加してきました。

高度軍事投資によって開発された新しい脅威ツールと戦術も侵害されることがあり、サイバー脅威がサイバー犯罪者によって、将来の使用のために、オンラインで共有され、武器化されることがあります。

Microsoft のサイバーセキュリティ体制

Microsoft にとってセキュリティは常に優先事項ですが、デジタル世界では、サイバーセキュリティの脅威に対する保護、検出、および対応方法のコミットメントにおいて継続的な進歩が必要であることを認識しています。 これらの 3 つのコミットメントは、Microsoft のサイバー防衛に対するアプローチを定義し、Microsoft のサイバー防衛戦略と機能についての議論のための有益なフレームワークとして機能します。

PROTECT

Targeting phishing campaigns continue to be the tip of the spear espionage-related breaches

保護

Microsoft の最初のコミットメントは、お客様と従業員によって使用されるコンピューティング環境を保護し、特定の敵対者から、クラウド インフラストラクチャとサービス、製品、デバイス、および社内のリソースの回復性を確保することです。

CDOC チームの保護対策は、センサーとデータセンターから、ID とサービスとしてのソフトウェア (SaaS) アプリケーションに至るまで、すべてのエンドポイントにわたります。 多層防御 (重複する保護およびリスク軽減戦略を含む複数レイヤーでの制御の適用) は、業界全体のベストプラクティスであり、お客様や会社の貴重な資産を保護するために採用されているアプローチです。

Microsoft の保護戦略には次のものが含まれます。

  • カメラ、職員の適格審査、フェンスとバリア、物理アクセスに対する複数の識別方法など、グローバル データセンターの物理的な環境の広範囲の監視と制御。

  • 侵入や DDoS 攻撃からクラウド インフラストラクチャを保護するソフトウェア定義ネットワーク。

  • インフラストラクチャ全体で多要素認証が採用され、ID およびアクセス管理を制御します。 これにより、クリティカルなリソースとデータが、次の少なくとも 2 つによって保護されます。
    • ユーザーが知っている情報 (パスワードまたは PIN)
    • ユーザー自身 (生体認証)
    • ユーザーが持っているもの (スマートホン)
  • 非永続的な管理では、インフラストラクチャとサービスを管理するエンジニアリング スタッフへの Just-In-Time (JIT) 特権と Just Enough Administrator (JEA) 特権を採用しています。 これにより、事前に指定された期間が経過すると、自動的に期限切れになる、昇格したアクセス用の一意の資格情報のセットが提供されます。

  • 最新のマルウェア対策ソフトウェアによって、適切な衛生が厳しく維持され、厳格な修正プログラムの適用と構成管理を遵守します。

  • Microsoft マルウェア プロテクション センターの研究者チームは、マルウェアの署名を特定し、リバースエンジニアリングし、開発して、高度な検出と防御のために、それらをインフラストラクチャ全体にデプロイします。 これらの署名は、Windows 更新プログラムと通知を通じて、Microsoft のレスポンダー、お客様、業界に配布して、デバイスを保護します。

  • Microsoft セキュリティ開発ライフサイクル (Security Development Lifecycle: SDL) は、開発コストを削減しながら、開発者がセキュリティの強化されたソフトウェアを構築し、セキュリティ コンプライアンス要件に対処するために役立つソフトウェア開発プロセスです。 SDL を使用して、すべてのアプリケーション、オンライン サービスおよび製品を強化し、侵入テストと脆弱性スキャンによって、その有効性を日常的に検証します。

  • 脅威モデリングと攻撃対象領域分析により、潜在的な脅威が評価され、サービスの公開された側面が評価され、サービスの制限や不要な機能の除去によって、攻撃対象領域が最小限に抑えられます。

  • データを機密性に基づいて分類し、転送中および保存時の暗号化を含む、データを保護するための適切な手段を取り、最小限の特権アクセスの原則を適用することで、保護を強化します。 • ユーザーとセキュリティ チーム間の信頼関係を促進し、ユーザーが反響を恐れることなくインシデントと異常を報告する環境を開発するための意識向上トレーニング。

豊富なコントロール セットと多層防御戦略を備えることで、1 つの領域で障害が発生した場合に、他の領域の補償コントロールがあるため、お客様、クラウド サービス、および独自のインフラストラクチャのセキュリティとプライバシーの維持に役立ちます。 しかし、人はミスを犯し、特定の敵対者は脆弱性を探し、それらを悪用し続けるため、真に侵入不可能な環境はありません。 これらの保護レイヤーとベースライン分析への継続的な多大な投資によって、異常なアクティビティが出現した場合に迅速に検出できます。

DETECT

57+ days is the industry's median number of days between infiltration and detection

Detect

CDOC チームは、自動化されたソフトウェア、機械学習、行動分析、およびフォレンジック手法を採用して、環境のインテリジェント セキュリティ グラフを作成しています。 このシグナルは、Active Directory、資産および構成管理システム、イベント ログなどのソースから生成されたコンテキスト メタデータと動作モデルによって補強されます。

セキュリティ分析への広範な投資により、豊富な行動プロファイルと予測モデルを構築して、"点を結び"、他の方法では検出されない可能性がある高度な脅威を特定し、強力な封じ込めと調整された修復アクティビティで反撃できます。

Microsoft では、業界最高水準のツールと機械学習に加えて、カスタム開発セキュリティ ソフトウェアも採用しています。 Microsoft の脅威インテリジェンスは絶えず進化しており、自動化されたデータエンリッチメントによって、悪意のあるアクティビティをより迅速に検出し、高度な忠実性でレポートします。 脆弱性スキャンを定期的に実行して、保護対策の有効性をテストし、改善します。 Microsoft のセキュリティ エコシステムへの投資の幅広さと CDOC チームによって監視されるシグナルの多様性によって、ほとんどのサービス プロバイダーが実現できるものより包括的な脅威ビューを提供します。

Microsoft の検出戦術には次のものが含まれます。

  • 24 時間 365 日体制でネットワークおよび物理環境の潜在的なサイバーセキュリティ イベントを監視します。 動作プロファイルは、使用パターンと Microsoft のサービスに対する固有の脅威の理解に基づいています。

  • 異常なアクティビティを強調するために、ID と行動の分析が開発されます。

  • 機械学習ソフトウェア ツールおよび手法を日常的に使用して、異常を検出してフラグを付けます。

  • 高度な分析ツールとプロセスをデプロイして、異常なアクティビティと革新的な相関機能をさらに特定します。 これにより、ほぼリアルタイムで膨大な量のデータから、高度にコンテキスト化された検出機能を作成できます。

  • 有効性の向上のため、継続的に監査され、進化させた自動化されたソフトウェアベースのプロセス。

  • データ サイエンティストとセキュリティ専門家が、日常的に協力して、ターゲットをさらに分析する必要がある異常な特性を示すエスカレートされたイベントに対処します。 それにより、可能性のある対応と修復作業を決定できます。

RESPOND

90% of all information security incidents are Denial of Service, Web Application Attacks and Crimeware

対応

Microsoft は、システムの異常なアクティビティを検出すると、従事させる対応チームを立ち上げて、正確な力によって迅速に対応します。 ソフトウェアベースの検出システムからの通知は、リスクベースのアルゴリズムを使用して、自動化された応答システムを経由し、対応チームからの介入を必要とするイベントにフラグが付けられます。 平均軽減時間が最優先事項であり、自動化システムにより、トリアージ、軽減、復旧を促進する関連した実用的な情報がレスポンダーに提供されます。

このような大規模にセキュリティ インシデントを管理するために、階層型システムをデプロイして、対応タスクを適切なリソースに効率的に割り当て、合理的なエスカレーション パスを促進します。

Microsoft の対応戦術には次のものが含まれます。

  • 自動対応システムでは、リスクベースのアルゴリズムを使用して、人の介入を必要とするイベントにフラグを付けます。

  • 自動対応システムでは、リスクベースのアルゴリズムを使用して、人の介入を必要とするイベントにフラグを付けます。

  • 継続的改善モデル内に適切に定義され、文書化された、スケーラブルなインシデント対応プロセスをすべてのレスポンダーが使用できるようにすることで、常に敵対者の先を行くことができます。

  • 多数のセキュリティ分野におけるチーム全体の専門知識により、インシデントに対処するための多様なスキルセットを提供します。 インシデント対応、フォレンジック、侵入分析におけるセキュリティ専門知識、およびクラウド データセンターで運用されているプラットフォーム、サービス、アプリケーションについての深い理解。

  • インシデントの範囲を特定するためのクラウド、ハイブリッド、オンプレミスのデータとシステム全体の大規模なエンタープライズ検索。

  • インシデントを理解し、それらの封じ込めと撲滅を支援するために、スペシャリストによって、主要な脅威に対する詳細なフォレンジック分析が実行されます。 • Microsoft のセキュリティ ソフトウェア ツール、自動化、およびハイパースケール クラウド インフラストラクチャにより、セキュリティ専門家は、サイバー攻撃の検出、調査、分析、対応、復旧にかかる時間を短縮できます。

  • 継続的なレッド チームまたはブルー チームの演習を通じて、すべての Microsoft 製品とサービスで、侵入テストが採用され、実際の敵対者が攻撃に利用できるようになる前に、脆弱性を明らかにします。

お客様向けのサイバー防御

Microsoft は、お客様から、お客様の独自の環境に採用できるツールとプロセス、および Microsoft がそれらの実装でどのように支援できるかについてよく尋ねられます。 Microsoft は、CDOC で使用しているサイバー防御製品とサービスの多くを、幅広い製品やサービスに統合しています。 Microsoft エンタープライズ サイバーセキュリティ グループと Microsoft コンサルティング サービス チームは、お客様に関与して、お客様の特定のニーズと要件に最も適したソリューションを提供します。

Microsoft が強く推奨する最初のステップの 1 つは、セキュリティ基盤を確立することです。 Microsoft の基盤サービスでは、確実に資産を保護するために役立つ、クリティカルな攻撃防御とコア ID 有効化サービスを提供します。 この基盤は、より安全な先進的エンタープライズに移行するデジタル トランスフォーメーション体験に役立ちます。

この基盤に基づいて、お客様は、マイクロソフトの他のお客様で実績があり、Microsoft の独自の IT およびクラウド サービス環境にデプロイされているソリューションを利用できます。 Microsoft のエンタープライズ サイバーセキュリティ ツール、機能、サービス内容の詳細については、Microsoft.com/security にアクセスして、チーム (cyberservices@microsoft.com) にお問い合わせください。

環境を保護するためのベストプラクティス

プラットフォームに投資する インストルメンテーションに投資する 人に投資する
機敏性とスケーラビリティには、プラットフォームを有効にするための計画と構築が必要である プラットフォームの要素を徹底的に測定していることを確認する 熟練したアナリストとデータ サイエンティストは防御の基礎であり、ユーザーは新しいセキュリティ境界である
資産の適切に文書化されたインベントリを管理する ネットワーク、ホスト、ログを完全に監視するために必要なツールを取得または構築する インシデント対応チームとその他のグループとの関係とコミュニケーション手段を確立する
組織の明確な基準とガイダンスを含む適切に定義されたセキュリティ ポリシーを設定する 制御と対策を先を見越して維持し、それらの正確さと有効性を定期的にテストする 最小限の特権管理者の原則を採用し、永続的な管理者権限を排除する
適切な衛生の維持 - ほとんどの攻撃は、タイムリーな修正プログラムとウイルス対策によって阻止できる 変更管理ポリシーの厳格な制御を維持する 教訓から学んだプロセスを使用して、すべての主要なインシデントから価値を得る
多要素認証を採用してアカウントとデバイスの保護を強化する 不正なアカウントと資格情報のアクティビティを監視して不正使用を検出する 起こりそうな脅威とビジネス データの保護におけるユーザー自身の役割をユーザーが認識できるように、協力を求め、教育し、支援する